КРЕДО-С
CREDOS:IR/Мониторинг и SOC

Расследование инцидентов

Атака произошла — теперь важно понять, как именно, что утекло и какие следы остались. КРЕДО-С подключается в течение 4 часов, фиксирует цифровые доказательства и восстанавливает полную картину инцидента. Предварительные результаты — за 3–5 рабочих дней.

Для кого: Компании, столкнувшиеся с кибератакой, утечкой данных или шифрованием. Также превентивная подготовка для субъектов КИИ

ЭкстренноеФорензикаMITRE ATT&CK
<4 часа
Начало экстренного реагирования
3–5 рабочих дней
Предварительный отчёт
1-4 недели
Полное расследование
Услуга «Расследование инцидентов» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. Атака произошла — теперь важно понять, как именно, что утекло и какие следы остались. КРЕДО-С подключается в течение 4 часов, фиксирует цифровые доказательства и восстанавливает полную картину инцидента. Предварительные результаты — за 3–5 рабочих дней. Категория: Мониторинг и SOC. Подразделение: Отдел проектов ИБ. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: soc.credos.ru

Описание услуги

Инцидент информационной безопасности всегда сопровождается высокой неопределённостью: неизвестен реальный масштаб проникновения и сохраняющиеся риски. Поспешное восстановление инфраструктуры без завершённого расследования приводит к повторным атакам — злоумышленник возвращается через незакрытый вектор или оставленный бэкдор.

Профессиональное расследование точно устанавливает точку входа злоумышленника, масштаб компрометации, виды затронутых данных и наличие оставшихся угроз. Это основа для грамотного восстановления систем и предотвращения подобных инцидентов в будущем.

4 часов
Как проходит расследование: специалисты КРЕДО-С подключаются в течение

Первый шаг — оперативное реагирование: оценка ситуации, локализация инцидента с сохранением важных следов. Затем — фиксация доказательств: образы дисков, дампы памяти, журналы событий, сетевые логи. Все артефакты собираются с соблюдением требований цифровой криминалистики — с обеспечением юридической значимости.

Техническое расследование: глубокий анализ процессов, сетевого трафика, изменений в файлах и учётных записях. Вектор атаки и техники описываем через MITRE ATT&CK — атрибутируем атаку известным APT-группировкам. Восстанавливаем полную цепочку действий злоумышленника, определяем реальный объём затронутых данных и оставшиеся риски.

Почему не стоит восстанавливать инфраструктуру самостоятельно

Перезапуск серверов уничтожает дамп оперативной памяти — именно там живут следы вредоносного ПО. Переустановка ОС стирает артефакты из MFT и журналов событий. Восстановление из заражённой резервной копии возвращает злоумышленника в сеть. КРЕДО-С сначала фиксирует все следы и даёт заключение — и только после этого согласовывает план восстановления.

Регуляторные обязательства после инцидента

Субъекты КИИ обязаны уведомить НКЦКИ о компьютерном инциденте в течение 24 часов по 187-ФЗ — мы готовим формализованное уведомление и сопровождаем взаимодействие с регулятором. При инциденте с персональными данными 152-ФЗ требует уведомить Роскомнадзор в течение 24 часов о факте утечки и в течение 72 часов — предоставить подробности. Без расследования невозможно корректно определить объём и категорию затронутых ПДн.

Итог — детальный отчёт: хронология событий, оценка последствий, конкретные меры по устранению уязвимостей. Для субъектов КИИ формируем пакет документов для НКЦКИ. При утечке ПДн — данные для уведомления Роскомнадзора. Лицензия ФСТЭК с 2007 года, ФСБ с 2009, более 33 лет в компьютерной криминалистике.

Как проходит работа

1

Экстренное подключение

Команда IR подключается в течение 4 часов. Первичная оценка масштаба, изоляция скомпрометированных систем.

2

Консервация доказательств

Снимаем образы дисков, дампы оперативной памяти, сохраняем логи. Документируем с юридической значимостью.

3

Анализ артефактов

Ищем следы вредоносного ПО, аномальные сетевые соединения, несанкционированные изменения. Восстанавливаем хронологию.

4

Атрибуция атаки

Определяем вектор проникновения, TTPs злоумышленника по MITRE ATT&CK. Оцениваем масштаб компрометации.

5

Отчёт и рекомендации

Детальный отчёт: хронология, техдетали, оценка ущерба, план усиления. Документы для НКЦКИ и РКН при необходимости.

Ключевые преимущества

Реагирование за 4 часа

Экстренное подключение аналитиков к инциденту — изоляция, сбор артефактов, первичный анализ

Цифровая криминалистика

Образы дисков, дампы памяти, логи — с соблюдением юридической значимости доказательств

Атрибуция по MITRE ATT&CK

Определяем вектор атаки, TTPs злоумышленника и масштаб компрометации

Рекомендации по устранению

Конкретный план действий: что закрыть, что обновить, как не допустить повторения

Что входит

  • Экстренное реагирование на инцидент и локализация угрозы
  • Сбор и консервация цифровых доказательств (образы дисков, дампы памяти)
  • Анализ индикаторов компрометации (IoC) и вредоносного ПО
  • Восстановление хронологии событий и вектора атаки
  • Атрибуция атаки по фреймворку MITRE ATT&CK
  • Оценка масштаба компрометации и утечки данных
  • Рекомендации по предотвращению повторных инцидентов
  • Взаимодействие с правоохранительными органами при необходимости

Результаты работы

Детальный отчёт о расследовании с хронологией инцидента
Перечень индикаторов компрометации (IoC) для блокировки
Описание вектора атаки и используемых техник (MITRE ATT&CK)
Оценка ущерба и масштаба компрометации
Рекомендации по усилению защиты и предотвращению повторения
Материалы для правоохранительных органов (при необходимости)
CREDOS:IR

Почему КРЕДО-С

Начало работ через 4 часа после обращения — цифровые следы не успевают исчезнуть

Юридически значимые доказательства: процедура документирования принята судами и правоохранительными органами

Атрибуция атаки по MITRE ATT&CK — понимаем, кто атаковал и какими инструментами

Предварительные результаты за 3–5 рабочих дней, полное расследование за 1–4 недели

Лицензия ФСТЭК с 2007 года, ФСБ с 2009 — более 33 лет в компьютерной криминалистике

Другие услуги

Мониторинг и SOC

Мониторинг событий ИБ (SOC)

CREDOS:SOC

Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты и оповещает до 30 минут.

24/7КИИФСТЭК
  • Аудит ИТ-инфраструктуры и определение источников событий безопасности
  • Настройка централизованного сбора логов и интеграция с SIEM
  • Разработка корреляционных правил и моделей поведения
  • Круглосуточный мониторинг событий безопасности 24/7 аналитиками SOC
  • и ещё 3...
Подробнее
Мониторинг и SOC

MSSP-услуги

CREDOS:MSSP

Собственный SOC стоит от 10 млн в год — оборудование, лицензии, три смены аналитиков. MSSP от КРЕДО-С даёт тот же уровень защиты от 50 000 ₽/мес без капитальных затрат и найма.

MSSP24/7КИИ
  • Managed XDR на платформе F.A.C.C.T. (F6)
  • SIEM как сервис (RuSIEM, MaxPatrol SIEM, KUMA)
  • ViPNet IDS в связке с системой анализа угроз TIAS
  • WAF как сервис для защиты веб-приложений
  • и ещё 3...
Подробнее
Пентест и киберучения

Тестирование на проникновение

CREDOS:RED

Тестирование на проникновение: реальная эксплуатация уязвимостей вашей инфраструктуры с доказательствами и оценкой ущерба. Внешний периметр, веб-приложения, внутренняя сеть — от 1 недели. Отчёт с приоритетами и планом устранения.

OWASPRed TeamФСТЭК
  • Планирование и разведка целевой инфраструктуры (OSINT)
  • Сканирование и анализ уязвимостей внешнего и внутреннего периметра
  • Активная эксплуатация уязвимостей по методологиям Black/Gray/White Box
  • Пентест веб-приложений по OWASP Top 10
  • и ещё 4...
Подробнее

Актуально для отраслей

Производство и КИИФинансовый секторЗдравоохранениеТорговля и ритейл

Часто задаваемые вопросы

Когда нужно расследование инцидентов?
Расследование необходимо при любом подозрении на компрометацию: утечке данных, обнаружении вредоносного ПО, несанкционированном доступе, шифровании файлов. Типичные ситуации: шифровальщик заблокировал файлы — неизвестно, были ли данные похищены до шифрования; обнаружен несанкционированный доступ к конфиденциальной базе данных; средство мониторинга зафиксировало аномалию с непонятным масштабом. Расследование проводят также при подозрении на инсайдерскую угрозу — для сбора доказательной базы к HR-разбирательству или уголовному делу. Чем раньше начинается форензика, тем больше цифровых следов удаётся сохранить.
Что включает цифровая криминалистика?
Цифровая криминалистика (форензика) — это работа с RAW-образами дисков без изменения оригинальных носителей, анализ NTFS MFT и файловых метаданных, разбор журналов Windows Event Log и Syslog, поиск следов lateral movement в Active Directory, извлечение дампов оперативной памяти. Каждый артефакт сопровождается хэш-суммой и фиксируется в протоколе, что обеспечивает доказательную цепочку (chain of custody). На основании собранных данных восстанавливается хронология атаки и выполняется атрибуция по фреймворку MITRE ATT&CK.
Сколько времени занимает расследование инцидента?
Экстренное реагирование начинается в течение 4 часов. Полное расследование занимает от 1 до 4 недель в зависимости от масштаба инцидента и количества затронутых систем. Предварительные результаты с ключевыми выводами — уже через 3–5 рабочих дней. Небольшой инцидент с одним-двумя хостами закрывается быстрее; масштабная атака с lateral movement по сети может потребовать 3–4 недели детального анализа.
Можно ли использовать результаты расследования в суде?
Да. Юридическая значимость обеспечивается принципом chain of custody: каждый артефакт снабжается хэш-суммой и фиксируется в протоколе с временными метками. КРЕДО-С имеет опыт взаимодействия с органами МВД и ФСБ при расследовании компьютерных преступлений по ст. 272–274.1 УК РФ. Технические отчёты составляются так, чтобы следователь и суд могли работать с ними без дополнительных пояснений. При необходимости специалисты КРЕДО-С выступают в качестве технических экспертов.
Когда нужно обращаться за расследованием?
При подозрении на взлом или утечку данных — немедленно, не трогая скомпрометированные системы. После обнаружения аномалий средствами защиты, если масштаб неясен. Обязательно — перед восстановлением инфраструктуры после атаки шифровальщика: чтобы не уничтожить доказательства и не восстановить заражённую систему. Субъектам КИИ обращение нужно ещё и для подготовки уведомления НКЦКИ по 187-ФЗ, а при утечке ПДн — для уведомления Роскомнадзора по 152-ФЗ.
Почему нельзя расследовать инцидент самостоятельно?
Самостоятельный анализ часто приводит к пропуску скрытых следов атаки: бэкдоров, закладок в учётных записях, изменений в групповых политиках AD. Профессиональная форензика восстанавливает точную картину событий, выявляет все векторы проникновения и оценивает реальный объём утечки данных. Кроме того, самостоятельные действия с системами — перезагрузки, удаление файлов, переустановка ОС — уничтожают цифровые доказательства, которые уже не восстановить.
Что делать после завершения расследования?
По итогам КРЕДО-С формирует план устранения уязвимостей с конкретными сроками и ответственными. При необходимости мы проводим восстановление инфраструктуры после атаки. Чтобы следующий инцидент был обнаружен до шифрования данных — рекомендуем подключить круглосуточный SOC-мониторинг: SIEM, EDR, реагирование за 15–30 минут. Предварительный расчёт стоимости мониторинга ИБ доступен на калькуляторе soc.credos.ru.

Бесплатные инструменты

Экспресс-аудит ИБ

Бесплатная онлайн-проверка — 10 вопросов, 3 минуты, оценка уровня защищённости

Попробовать бесплатно
Калькулятор штрафов

Узнайте размер штрафов за нарушения ИБ для вашей компании по актуальным данным

Попробовать бесплатно

Обсудить ваш проект

Рассчитайте стоимость SOC-услуг онлайн или оставьте заявку для бесплатной консультации

Рассчитать стоимость SOC